Открывая конференцию «Информационная безопасность сегодня: реалии экономики и защита бизнеса», Роберт Фариш, региональный директор компании IDC, организовавшей это мероприятие, подчеркнул, что затраты на обеспечение безопасности не могут быть сокращены ни при каких условиях. Прежде всего потому, что любое обострение общественных процессов способствует увеличению количества криминальных угроз. Не составляют исключения и сферы высоких технологий. Среди производителей, принявших участие в конференции, — недавно открывшая свое представительство в России Trend Micro, Blue Coat, Web Сontrol, «Лаборатория Касперского», IBM, Check Point, Symantec, Leta IT и Websence. Заказчиков представляли специалисты по безопасности из крупнейших банковских структур и телекоммуникационных компаний.
Самым запоминающимся стал доклад Джошуа Кормана, специалиста по разработке стратегии информационной безопасности из IBM ISS. Сегодня Корман — одна из самых ярких фигур в сфере безопасности, а журнал Network World включил его в список наиболее влиятельных персон современных информационных технологий. Эта номинация не случайна, но неожиданна — опыт работы Кормана составляет всего десять лет, и все это время он работал в компании Internet Security Systems, а после ее поглощения в 2006 году — в отделении IBM ISS. В прошлом году Корман выступил на конференции Interop 2008 с докладом, имевшим скандальное название «Опасен на любой скорости, 7 гнусных секретов информационной безопасности». (Корман перефразировал название книги Ральфа Надера «Опасно на любой скорости». Эта книга была бестселлером 1965 года, а название стало идиомой; в ней автор подверг уничижительной критике продукцию автомобильной промышленности тех лет, и под влиянием книги представления американцев об автомобилях заметно изменились — и технически, и эстетически, а критерий безопасности стал одной из важнейших характеристик.)
Если почитать статьи Кормана и посчитать, то оказывается, что раскрытых им секретов не семь, а на один больше. Главный «секрет Полишинеля», получивший номер ноль, гласит: «Цель производителей средств безопасности — не безопасность, а извлечение прибыли». Естественно, что подобного рода крамольные высказывания не остались незамеченными. Прошел год, и на конференции Interop 2009 история повторилась. Нынешнее выступление оказалось не столь шокирующим, как прошлогоднее, но не менее важным для всей индустрии. В нем Корман обратил внимание аудитории на слабость средств обеспечения безопасности, обнаруживаемую в виртуализованных инфраструктурах. Увлекшись виртуализацией, большинство специалистов не заметили очевидного факта, а именно: любая техническая новация несет новые угрозы.
По мнению Кормана, виртуализация — не только благо. И если она позволяет разобраться без особых проблем со сложностями на пользовательском уровне, то на серверном уровне виртуализация создает больше проблем для безопасности, чем решает. У этих проблем две причины. Одна состоит в том, что новое поколение специалистов увлеклось собственно виртуализацией и сосредоточилось только на ней. При этом они упустили из виду, что виртуализованные серверы обладают ровно теми же уязвимостями, которые присущи физическим. Для решения проблем нужны специалисты, привыкшие обеспечивать безопасность сетей и приложений, а администраторы такими навыками не обладают. Вторая причина кроется в новых уязвимостях, которые возникают в виртуализованных инфраструктурах. Проблемами чреват, казалось бы, разумный механизм миграции. Если количество виртуальных серверов велико, а управление ими несовершенно, может начаться лавинообразный процесс миграции в поиске свободных мощностей на физических серверах и наступить крах системы. Тракты, по которым мигрируют серверы, не имеют криптографической защиты. Это обеспечивает максимальную производительность, но открывает возможность для перехвата целиком сервера и его подмены при атаке с участием человека. Такая атака называется man-in-the-middle attack. Множество проблем также связано с тем, что часть виртуальных серверов может пребывать в «спящем состоянии» в те периоды времени, когда выполняется обновление операционных систем и систем обеспечения безопасности. Наконец, сами гипервизоры тоже обладают уязвимостями: если они повреждаются, то возникает ситуация, которая «не лечится».
Простые советы
В своем выступлении на конференции Джошуа Корман дал несколько полезных практических советов, казалось бы очевидных. Вот некоторые из них.
-
Убедитесь, что каждая виртуальная машина снабжена средствами обеспечения безопасности.
-
Детальным образом пропишите, на какие физические машины могут перемещаться виртуальные.
-
Снабдите физическую среду периметром безопасности.
-
Избегайте «чудодейственных» инструментов для создания безопасных виртуальных систем.